Como funciona a integração com Tiny ou Bling?

Via OAuth — o mesmo padrão de segurança usado pelo Google quando você faz login em outros apps. Você clica em "Autorizar", concede acesso de leitura ao KORVEO, e a conexão está feita. Menos de 2 minutos. A conexão não expira e pode ser revogada a qualquer momento no painel do ERP.

Preciso de ERP para usar o KORVEO?

Para aproveitar 100% das funcionalidades, sim — você precisa de Tiny ERP ou Bling ERP ativo. Se você ainda não usa ERP, podemos ajudar a escolher um durante o piloto. O KORVEO também lê dados direto do painel ML enquanto o ERP não está conectado.

O briefing é realmente gerado por IA?

Sim. O KORVEO conecta aos seus dados em tempo real, consolida as informações e usa Claude (Anthropic — a mesma IA por trás do ChatGPT Enterprise) para gerar o resumo em português natural, calibrado ao perfil da sua operação. Não é um relatório automático com campos fixos — é texto interpretado e priorizado.

Posso enviar o briefing para mais de uma pessoa?

No plano Operacional: até 5 números de WhatsApp. No plano Gestor: ilimitado. Cada número recebe o mesmo briefing completo. Ideal para enviar para o dono, o gerente logístico e o financeiro ao mesmo tempo.

Como funciona a lista de espera?

Para garantir a qualidade do nosso serviço, liberamos o acesso ao KORVEO em lotes. Você preenche nosso onboarding rápido para entendermos a sua operação, e nós entramos em contato por WhatsApp assim que uma vaga adequada ao seu perfil for liberada.

Como funciona o cancelamento?

Cancele a qualquer momento pelo painel ou por e-mail. Sem multa, sem prazo mínimo. Seu acesso continua ativo até o fim do período já pago. Seus dados ficam disponíveis para exportação por 30 dias após o cancelamento.

Meus dados do ERP ficam seguros?

O KORVEO acessa seus dados com permissão de leitura apenas — nunca pode fazer alterações no ERP. Os dados ficam armazenados na nossa infraestrutura em servidores no Brasil, com criptografia em trânsito (TLS) e em repouso. Você pode revogar o acesso a qualquer momento diretamente no painel do Tiny ou Bling.

Segurança2026-04-2010 min de leitura

O Guia Definitivo de Integração OAuth para Lojas Virtuais

Por que OAuth2 é o padrão de segurança para integrar ERP, marketplace e ferramentas de inteligência — e como ele protege seus dados sem você precisar compartilhar senhas.

TL;DR: OAuth2 é o protocolo de autorização que permite a uma aplicação acessar dados de outra sem compartilhar senha. É o mesmo padrão usado por "Login com Google" e "Login com Facebook". No e-commerce, OAuth2 é o que separa integrações seguras (Tiny V3, Bling V3, Mercado Livre) de soluções vulneráveis baseadas em chaves de API estáticas. Este guia explica o fluxo passo a passo e os riscos que ele elimina.

O problema das chaves de API estáticas

Antes do OAuth2, integrar duas plataformas exigia gerar uma "API Key" — uma string longa que você copiava da plataforma A e colava na plataforma B. Essa chave dava acesso total e permanente. Se alguém vazava, o estrago era catastrófico:

Acesso total à conta — leitura, escrita, exclusão.
Sem expiração — a chave funcionava até ser explicitamente revogada.
Sem escopo — não dava para limitar a "apenas leitura de pedidos".
Sem auditoria — quem usou a chave? De onde? Quando? Difícil saber.

Vazamentos de chaves de API em repositórios GitHub públicos são tão comuns que existem ferramentas como TruffleHog e GitGuardian especializadas em detectá-las. Em 2024, mais de 12 milhões de credenciais foram detectadas vazadas em repositórios públicos — e e-commerce está entre os setores mais afetados.

OAuth2 em uma frase

OAuth2 é um protocolo onde o usuário autoriza um aplicativo terceiro a acessar dados em uma plataforma, recebendo em troca um token de acesso com escopo limitado, prazo de validade e revogação fácil — sem que o aplicativo terceiro veja a senha.

O fluxo Authorization Code

Existem várias variantes do OAuth2. A mais usada em e-commerce é o Authorization Code Flow. Funciona em quatro passos:

1. Redirecionamento

Você está no painel do KORVEO e clica em "Conectar Tiny". O KORVEO te redireciona para uma URL do Tiny: tiny.com.br/oauth/authorize?client_id=…&scope=read:orders+read:stock&redirect_uri=….

2. Autorização

Você faz login no Tiny (se ainda não estiver logado) e vê uma tela: "O KORVEO quer acessar: leitura de pedidos, leitura de estoque, leitura de notas fiscais. Autorizar?". Você clica "Autorizar".

3. Code de autorização

O Tiny te redireciona de volta ao KORVEO com um code temporário na URL. Esse code vale alguns minutos e só serve para a próxima etapa.

4. Troca por token

O KORVEO usa o code para fazer uma chamada server-to-server ao Tiny e recebe dois tokens: access token (válido por algumas horas, usado em cada chamada de API) e refresh token (válido por meses, usado para renovar o access token sem você precisar autorizar de novo).

O que isso protege na prática

Sua senha nunca sai do Tiny/Bling

O KORVEO nunca recebe sua senha. A autenticação acontece dentro do domínio do ERP. Se houver phishing, o ataque acontece antes do KORVEO entrar na história — não como consequência da integração.

Escopos limitados

O token recebido tem permissões específicas. O KORVEO pede apenas escopos de leitura (read:orders, read:stock, read:invoices). Mesmo se o token vazar, o atacante não consegue alterar nada no seu ERP.

Revogação imediata

No painel do Tiny ou Bling, você vê todos os apps autorizados e revoga com um clique. Em segundos, o KORVEO perde acesso. Sem precisar trocar senha, sem precisar avisar nada.

Rotação automática

Access tokens expiram em horas. Mesmo que um token seja interceptado em trânsito (o que TLS 1.3 já dificulta muito), a janela de uso é curta. Comparado a uma API key estática que dura "para sempre", a redução de risco é enorme.

Auditoria nativa

Toda chamada de API feita com o token fica registrada no painel do ERP com IP, timestamp e endpoint chamado. Você sabe exatamente o que o KORVEO acessou e quando.

OAuth2 não é mágica — três cuidados que continuam sendo seus

Senha forte no ERP: OAuth protege a integração, não o login original. Use senha única e 2FA no Tiny/Bling.
Confiança no provedor: autorize apenas apps que você verificou. O selo de "App oficial" do ERP é um bom filtro.
Revisão periódica: a cada trimestre, abra a lista de apps autorizados e revogue os que você não usa mais.

Como o KORVEO implementa OAuth2 com Tiny e Bling

Tanto o Tiny ERP V3 quanto o Bling ERP V3 publicaram em 2023 e 2024 suas APIs com OAuth2 como único método de autenticação suportado para apps externos. O KORVEO usa exclusivamente o fluxo Authorization Code com refresh token, com armazenamento criptografado dos tokens (AES-256 em repouso) em servidores no Brasil.

Os escopos solicitados são exclusivamente de leitura:

read:orders — pedidos e status.
read:stock — saldos de estoque por SKU.
read:invoices — notas fiscais e situação.
read:financial — contas a receber e repasses.

O KORVEO nunca solicita escopos de escrita ou exclusão. Tecnicamente, não conseguimos alterar nenhum dado no seu ERP — mesmo se quiséssemos.

OAuth2 no Mercado Livre

O Mercado Livre adota OAuth2 desde 2014, com fluxo similar ao do Tiny e Bling. A diferença é que o ML exige renovação do refresh token a cada 6 meses. Apps que não fazem essa renovação param de funcionar silenciosamente — e o seller só descobre quando perde o briefing diário.

O KORVEO mantém um job de renovação automática que verifica e renova tokens 30 dias antes do vencimento, com alerta para o usuário caso a renovação falhe.

Perguntas frequentes

OAuth2 e SSO (Single Sign-On) são a mesma coisa?

Não exatamente. SSO é um caso de uso de OAuth2/OIDC. OAuth2 é o protocolo de autorização; SSO é a experiência de "fazer login uma vez e acessar vários sistemas". Apps de e-commerce usam OAuth2 para integrações de dados, não para SSO.

Se eu trocar minha senha do Tiny, o KORVEO deixa de funcionar?

Não. O token de acesso é independente da senha. Trocar senha não invalida tokens emitidos. Para invalidar tokens, é preciso revogar o app explicitamente no painel.

Quanto tempo o token fica armazenado?

O access token tem validade de algumas horas (configurável pelo provedor — Tiny e Bling usam tipicamente 4 horas). O refresh token tem validade de 6 a 12 meses, e é renovado automaticamente antes do vencimento.

O KORVEO pode ler minha senha do ERP em algum momento?

Não. A autenticação acontece dentro do domínio do Tiny/Bling. O KORVEO nunca tem visibilidade da sua senha — apenas do token emitido após sua autorização.

Como sei se um app é seguro para autorizar?

Cheque três coisas: (1) presença na lista oficial de apps do ERP, (2) política de privacidade pública e clara, (3) escopos solicitados — apps que pedem escopos de escrita sem necessidade evidente são suspeitos.

O que fazer agora

Faça uma auditoria dos apps já autorizados no seu Tiny ou Bling — revogue os que você não usa mais.
Ative 2FA na conta principal do ERP, mesmo que pareça inconveniente.
Conecte o KORVEO via OAuth2 e veja na prática o fluxo seguro de integração — leva menos de 2 minutos.